Oracle数据库提权到成功在Navicat-Rce命令执行

半夜无聊看了两节Springboot3，我染上Java了！好痛苦啊，唉，又好无聊啊又挖不到洞烦死了，心血来潮来一把信息收集看看SRC，什么子域扫描，dirsearch，oneforall，搜索引擎，我直接梭哈！

终于~哒哒哒哒哒哒2个小时过去了~

Yakit传来喜讯遇到一个Oracle数据库有漏洞，我擦嘞。惊喜总是在半夜时候出现，觉是不可能睡的了，开干！！！！！

于是直接从Yakit报告的信息内，连上了数据库，厚礼蟹！！感觉有了

这不是大收获？再看看有没有更多信息用来扩大危害升级奖金。

好了又变回那个点鼠标的猴子的我了。

点点点点点点，不知道的还以为我在玩扫雷，加载又慢，烦死了！！

哦豁，看到一个库有数据库配置。眼睛顿时跟发激光一样，我特么jiu的一下起来，数量还不少有十几个吧，但是部分还是配置的内网IP连接，只能看看能不能找几个外网的了。

还是点点点点，这里一开始还很傻，找那种不是内网IP的来试。后面想起来我应该可以先排除出来这些IP，扫一下数据库端口是否存在，这样去连接效率就快了，一个个去连接还要等Navicat去响应，太慢了，我太蠢了天哪，oh my god！果然出洞都是要在无意之间出的，天天一直盯着搜，反而不出来。

就跟你的女神一样，总是爱而不得。偏偏不想要的时候，另一个她就来了，真可恶啊god damm

辛辛苦苦，又连上了2个，妹的！怎么数据还是0几年的，我直接两眼发黑

是不是想我死啊，我的期待，我吐了哥们怎么会这样！

后面翻来覆去也没看到什么有用的信息

但是还是数据库有遗留部分的文件地址，想必是业务上传时候记录下来的，访问一下又多了一批测试账密，真不赖！可以去尝试拿这批账密去撞撞系统。但是感觉还不够啊，能不能注入或者Rce呢，在Navicat上面，不然也太可惜了不是么，只能连接数据库可不行。

数据库注入，熟悉的师傅都知道，一般来讲这种连接以后，可以尝试找找对应的web应用，去尝试into file 写入木马连接 进一步内网或者看看是不是云服务环境，或者域之类的。

但是这次数据库众多，根本找不到对应百分百完美对的上的，更何况账密都赖在这表里面了，还是内网IP，已经是有点困在里面的感觉了。

在我后来百度一番以后，是有些许关于Oracle数据库 查询 服务器和用户权限相关的命令的。

https://www.dbs724.com/98743.html

很简陋，但是感觉稍微有点作用吧

这里贴出来给师傅们参考学习，这类资料感觉实在太少了，后续也要挑个时候好好学习一下前面师傅留下来的精髓。

之后还尝试了某师傅的Oracle 一键命令执行工具，但是感觉有bug没做好，在命令执行一次两次以后，会莫名其妙不能再继续了，这里笔者后面排查是感觉执行命令时候没正确识别到Oracle用户是否拥有DBA权限，导致在命令执行之前就判定这一步有差错，导致这个问题发生

https://github.com/jas502n/oracleShell 都好几年前了哈哈哈

https://github.com/Hel10- Web/Databasetools Go做的

都存在上述问题

导致不能正常执行很多命令去进行回显，比如 /sbin/ifconfig，ping等等命令，后续执行就会报错False，或者卡住。

心灰意冷了，这工具梭哈都不行，但是按理来讲工具都是从之前的原理再到自动化方便渗透师傅去利用才对。所以应该是有手工的做法的，又继续翻翻翻，这时候已经是第二天早上了，困死我了，为什么挖洞都是半夜出货，不想我睡觉吗fuck！

坚持不懈的翻找百度，终于找到了一篇可行的了，原来这种技术都已经那么早期了，21年了，但是依然值得一试！这种在Navicat命令执行的事情，笔者颇感兴趣。

早前就遇到mysql同样是连接数据库，然后web应用URL位置不清晰，secure priv 为null等原因到最后只能连接数据库，不能对服务器进一步，太可惜了感觉。

这里权限提升就不看了吧，我都是DBA了，我是大爷！我要RCE！！！

（后来还是梭哈了一遍，确认是最高权限先，哈哈哈脚本小子的我太菜了）

一看到这里：

脚本小子的我感觉又行了，先不管他原理什么的了，先自己敲一遍梭哈看看是否可行

我直接一手Ctrl C Ctrl V 复制粘贴 粘贴又复制

这次肯定有了吧？

一手复制粘贴，感觉害了自己

怎么一直在查询啊

急死我了

最后实在不行了，吃饱饭以后确认了步骤里的OBJECT_ID已经创建好，再重新敲一次命令执行！

渗透的感觉，真棒！

又可以开始写报告了，什么时候可以来个人帮我写报告，好累啊

在开头时候笔者刚开始学习接触Java Web一类的知识，略看了一下前面的payload发现也是Java的，感觉Java更应该学了，现在遍地都是Java/Go，不学怎么搞Web，我要当Web狗！！！

这个地方笔者不懂，但是初步判断应该跟刚开始学php mysql注入时候差不多。

但是因为Oracle数据库是对标java的，这里就用的java语句。先是把java语法Payload套到函数里，最后通过调用函数执行命令执行。我感觉我又行了！脚本老子无敌！

这里给一个Tips：

尽量看文章复现或者实战时候，试着手敲，笔者这里之前复制粘贴以后，感觉出了点错误问题，后来手敲了一遍又莫名其妙就好了，渗透就是要耐心仔细把每个点，每个可能都尝试一遍，实在没办法了再选择放弃，但是也要看情况来。

搜索到的文章：

https://loong716.top/posts/Oracle_Database_Security/#0x04-%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C

https://redn3ck.github.io/2018/04/25/Oracle%E6%B3%A8%E5%85%A5-%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C-Shell%E5%8F%8D%E5%BC%B9/

https://github.com/jas502n/oracleShell 都好几年前了哈哈哈

https://github.com/Hel10-Web/Databasetools Go做的